Setki miliardów maili i haseł krąży w darknecie

Przeczytaj także: Nie(bezpieczna) sztuczna inteligencja

Opublikowana przez nas najnowsza edycja dokumentu „Global Threat Landscape Report” jasno pokazuje jedno: cyberprzestępcy przyspieszają, wykorzystując sztuczną inteligencję oraz automatyzację do działania z niespotykaną dotąd szybkością i skalą – powiedział Derek Manky, główny strateg ds. bezpieczeństwa i globalny wiceprezes ds. analizy zagrożeń w należącym do firmy Fortinet zespole FortiGuard Labs. – Tradycyjne podejścia do zapewniania cyberbezpieczeństwa już nie wystarczają. Dlatego, aby wyprzedzić szybko ewoluujące obecnie zagrożenia, przedsiębiorstwa muszą przełączyć swoje podejście na proaktywną, bazującą na danych wywiadowczych strategię obrony, z wykorzystaniem sztucznej inteligencji i mechanizmów zero trust oraz rozwiązań zapewniających ciągłe zarządzanie ekspozycją na zagrożenia.

Kluczowe wnioski z najnowszego raportu FortiGuard Labs o globalnych zagrożeniach:

• Zautomatyzowane skanowanie na rekordowym poziomie – atakujący coraz wcześniej identyfikują cele, w których występują podatności – Po wykryciu nowej luki w zabezpieczeniach podłączonych do internetu systemów IT, cyberprzestępcy coraz wcześniej wdrażają mechanizmy ich zautomatyzowanego skanowania na globalną skalę. Poziom aktywnego skanowania w cyberprzestrzeni osiągnął bezprecedensową wartość w 2024 r. – wzrósł na całym świecie o 16,7% (rok do roku), co uwidacznia skalę wyrafinowanego i masowego gromadzenia informacji o podatnej cyfrowej infrastrukturze. Analitycy FortiGuard Labs zaobserwowali miliardy przeprowadzonych skanów każdego miesiąca (36 tys. skanów na sekundę), co wskazuje na wzmożony nacisk na mapowanie narażonych usług, takich jak SIP i RDP, a także wykorzystywanych w środowiskach OT/IoT protokołów, np. TCP.
• Rynki w darknecie ułatwiają dostęp do starannie przygotowanych zestawów exploitów – W 2024 r. podziemne cyberprzestępcze fora w coraz większym stopniu działały jako platformy sprzedażowe dla zestawów exploitów. Do bazy National Vulnerability Database dodanych zostało ponad 40 tys. nowych luk, co stanowi wzrost o 39% w porównaniu z 2023 r. Oprócz luk zero-day krążących w darknecie, pośrednicy handlujący dostępem do sieciowych usług częściej oferują dostęp do danych uwierzytelniających (20%), systemów z udostępnionym protokołem RDP (19%), paneli administracyjnych (13%) i powłok internetowych (12%). Dodatkowo, analitycy FortiGuard Labs zaobserwowali w ubiegłym roku w logach dostępnych z systemów zaatakowanych przez złośliwe oprogramowanie infostealer wzrost o 500% skradzionych danych uwierzytelniających (1,7 miliarda), które udostępnione zostały na podziemnych forach.
• Bazująca na sztucznej inteligencji cyfrowa przestępczość szybko się rozprzestrzenia – Cyberprzestępcy wykorzystują sztuczną inteligencję do zwiększenia wiarygodności phishingowych komunikatów oraz unikania tradycyjnych mechanizmów kontroli bezpieczeństwa, dzięki czemu cyberataki są skuteczniejsze i trudniejsze do wykrycia. Takie narzędzia jak FraudGPT, BlackmailerV3 oraz ElevenLabs umożliwiają prowadzenie bardziej skalowalnych, wiarygodnych i skutecznych kampanii, bez ograniczeń etycznych obecnych w publicznie dostępnych narzędziach AI.
• Nasilają się ukierunkowane ataki na branże o krytycznym znaczeniu – Takie branże jak produkcja, ochrona zdrowia i usługi finansowe nadal doświadczają gwałtownego wzrostu liczby precyzyjnie ukierunkowanych cyfrowych ataków, w ramach których cyberprzestępcy wykorzystują exploity specyficzne dla danej grupy podmiotów. W 2024 r. najbardziej atakowanymi branżami były produkcja (17%), usługi biznesowe (11%), budownictwo (9%) i handel detaliczny (9%). Zarówno atakujący sponsorowani przez struktury państwowe, jak i operatorzy usług Ransomware-as-a-Service (RaaS), koncentrowali swoje wysiłki na tych obszarach, przy czym najbardziej obciążone zostały nimi Stany Zjednoczone (61%), a następnie Wielka Brytania (6%) i Kanada (5%).
• Rośnie zagrożenie w chmurze i dla środowisk IoT – Usługi chmurowe nadal są głównym celem ataków, a cyberprzestępcy wykorzystują utrzymujące się podatności, takie jak otwarte zasoby pamięci masowej, nadmiernie przyznane uprawnienia oraz źle skonfigurowane usługi. W 70% zaobserwowanych incydentów atakujący uzyskali dostęp poprzez logowanie z nieznanych lokalizacji geograficznych, co podkreśla kluczową rolę monitorowania tożsamości w procesie obrony środowisk chmurowych.
• Dane uwierzytelniające są walutą cyfrowej przestępczości – W 2024 r. cyberprzestępcy udostępnili na podziemnych forach ponad 100 miliardów (wzrost o 42% rok do roku) skradzionych nazw użytkowników, haseł i adresów e-mail, dostępnych przede wszystkim w rosnącej liczbie zawierających je „list combo”. Ponad połowa postów w darknecie dotyczyła wycieków baz danych, co umożliwiło atakującym automatyzowanie ataków polegających na wyłudzaniu danych uwierzytelniających na dużą skalę. Najbardziej aktywne w tym czasie grupy cyberprzestępcze, takie jak BestCombo, BloddyMery i ValidMail, nadal obniżały barierę wejścia poprzez weryfikowanie tych danych uwierzytelniających i pakowanie ich w zestawy, co przyczyniło się do wzrostu liczby przejętych kont, oszustw finansowych oraz poziomu szpiegostwa korporacyjnego.

Zalecenia dla CISO w celu wzmocnienia obrony cyfrowych środowisk przed nowymi zagrożeniami

Opublikowany przez Fortinet dokument „Global Threat Landscape Report” zawiera szczegółowe informacje na temat najnowszych taktyk i technik stosowanych przez atakujących, a także zalecenia i praktyczne spostrzeżenia. Raport został zaprojektowany w taki sposób, aby wesprzeć osoby na stanowiskach CISO oraz zespoły ds. bezpieczeństwa w tworzeniu strategii przeciwdziałania nadchodzącym atakom cyberprzestępców, co stanowi znaczną pomoc dla przedsiębiorstw w prewencyjnej ochronie przed pojawiającymi się cyfrowymi zagrożeniami.

W tegorocznym raporcie zawarto rozdział z praktycznym przewodnikiem dla osób na stanowiskach CISO, który przedstawia kilka strategicznych obszarów, na których należy się skupić w celu obrony przed zagrożeniami:

• Ciągłe zarządzanie ekspozycją na zagrożenia zamiast tradycyjnego wykrywania zagrożeń – Tego typu proaktywne podejście kładzie nacisk na ciągłe zarządzanie powierzchnią ataku, emulowanie rzeczywistego zachowania przeciwników, priorytetyzowanie działań naprawczych na bazie ryzyka oraz automatyzowanie wykrywania zagrożeń i reagowanie w obronie przeciwko nim. Odporność na ruch boczny oraz exploity wykorzystywane w rzeczywistych scenariuszach ataków może być zapewniona dzięki zastosowaniu narzędzi do symulowania naruszeń i ataków (BAS), które umożliwiają systematyczne ocenianie poziomu bezpieczeństwa urządzeń końcowych, sieci oraz środowisk chmurowych.
• Symulowanie rzeczywistych ataków – Przeprowadzanie ćwiczeń emulujących działanie przeciwników, tworzenie zespołów czerwonych (odpowiedzialnych za symulowanie ataków) i fioletowych (koordynujących pracę zespołów czerwonych i niebieskich, odpowiedzialnych za rzeczywistą obronę) oraz wykorzystywanie metodologii MITRE ATT&CK do testowania obrony przed takimi zagrożeniami, jak ransomware i kampanie szpiegowskie.
• Zmniejszanie powierzchni ataku – Wdrażanie narzędzi do zarządzania powierzchnią ataku (Attack Surface Management, ASM) w celu wykrywania narażonych zasobów, wycieków danych uwierzytelniających oraz podatnych na ataki luk, przy jednoczesnym ciągłym monitorowaniu forów w darknecie pod kątem pojawiających się zagrożeń.
• Priorytetyzowanie podatności wysokiego ryzyka – Skoncentrowanie działań naprawczych na podatnościach aktywnie omawianych przez grupy cyberprzestępcze, z wykorzystaniem takich bazujących na ocenie ryzyka mechanizmów priorytetyzowania jak EPSS i CVSS w celu zapewnienia skutecznego zarządzania wdrażaniem poprawek.
• Prowadzenie śledztw w darknecie – Monitorowanie pojawiającej się w darknecie oferty usług ransomware oraz śledzenie skoordynowanych wysiłków haktywistów, co umożliwia zapobiegawcze neutralizowanie takich zagrożeń, jak DDoS i ataki typu web defacement (nieautoryzowana zmiana treści strony internetowej).